Побег из зала суда, фишинг в Teams и $600 тысяч наличными — всё, что осталось от Black Basta

Несмотря на публичный крах группировки Black Basta после утечки её внутренних чатов в феврале 2025 года, её бывшие участники продолжают использовать знакомые методы атак и даже активно их развивают. Как показал отчёт компании ReliaQuest, старые приёмы, включая массовые e-mail-рассылки и фишинг через Microsoft Teams, теперь дополняются Python-скриптами и скрытной передачей вредоносных данных через облачные сервисы.

Ключевым нововведением в последних кампаниях стало использование запросов cURL, которые применяются для загрузки и запуска вредоносных скриптов на компьютерах жертв. По данным специалистов, такие атаки наблюдались в финансовом, страховом и строительном секторах, где злоумышленники выдавали себя за службу поддержки, используя для этого взломанные домены и поддельные учётные записи на доменах «onmicrosoft[.]com». Примерно половина всех атак через Teams в период с февраля по май 2025 года велась с этих доменов, причём 42% — через уже скомпрометированные ресурсы.

Как отмечает ReliaQuest, взломщики активно используют полученный доступ для запуска удалённых сессий через Quick Assist и AnyDesk , после чего загружают вредоносный Python-скрипт, обеспечивающий им устойчивую командную связь с заражённым узлом. В некоторых случаях жертвам демонстрируется поддельное окно входа в Windows, предназначенное для кражи учётных данных.

На фоне продолжающейся активности бывших участников Black Basta особенно резонансным стал случай побега предполагаемого лидера группировки, Олега Нефёдова, из зала суда в Армении. По данным армянских СМИ, он был задержан 21 июня 2024 года по запросу Интерпола и должен был находиться под стражей 72 часа, пока суд рассматривал ходатайство прокуратуры о временном аресте. Однако в день слушания адвокат Нефёдова добился 15-минутного перерыва, в ходе которого обвиняемый был отпущен «на прогулку» и воспользовался ситуацией, чтобы скрыться.

Несмотря на исчезновение утекшего сайта Black Basta, её подходы переживают новое рождение. Есть основания полагать, что часть бывших членов перешла в группировку CACTUS , о чём свидетельствует упоминание в утёкших чатах о переводе $500–600 тыс. в её адрес. Однако с марта 2025 года CACTUS не публиковала новые данные на своём слив-сайте, что вызывает подозрения: возможно, она либо ушла в подполье, либо прекратила существование.

Одним из вероятных новых убежищ для бывших членов Black Basta может быть группа BlackLock , которую связывают с новым картелем под названием DragonForce . Именно эта связка всё чаще всплывает в расследованиях крупных атак последних месяцев.

Инфраструктура атак также эволюционирует: обнаружены усовершенствованные Java-бэкдоры, которые раньше использовались для кражи учётных данных в атаках Black Basta. Теперь они используют облачные сервисы, такие как Google Drive и OneDrive, для проксирования команд — что позволяет обходить обычные средства обнаружения. В свежих образцах конфигурационные параметры для прокси оставлены пустыми, что указывает на намеренный переход к использованию только облачной инфраструктуры CSP-провайдеров.

Новые версии этого ПО могут передавать файлы, разворачивать SOCKS5-прокси, извлекать пароли из браузеров, запускать Java-классы из удалённых URL в памяти и даже отображать фальшивые окна входа в систему. Всё это делает его мощным инструментом для закрепления в сети и дальнейшего развёртывания атак.

Методика, активно применяемая бывшими участниками Black Basta, уже начала распространяться среди других группировок. Так, BlackSuit переняла те же подходы к социальной инженерии, включая Teams-фишинг и Quick Assist, что может указывать либо на обмен тактиками, либо на миграцию участников между командами.

Также в отчётах упоминается использование ряда других вредоносов. Среди них — Python-бэкдор Anubis, Java-бэкдор, а также утилита на языке Rust, предположительно выполняющая роль загрузчика для SSH-клиента. Особого внимания заслуживает туннелирующий бэкдор QDoor, ранее уже связывавшийся с BlackSuit и недавно замеченный в атаках в стиле 3AM, описанных компанией Sophos.

В более широкой перспективе, на фоне этих событий разворачивается целый ряд атак со стороны других группировок. Scattered Spider, например, сфокусировалась на взломе MSP-компаний, используя фишинговые страницы на базе Evilginx для обхода двухфакторной аутентификации. Группировка Qilin (также известная как Agenda и Phantom Mantis) эксплуатирует уязвимости Fortinet FortiGate, а Play активно использует брешь CVE-2024-57727 в ПО SimpleHelp, атакуя организации в США.

Тем временем внутренняя борьба в группе VanHelsing привела к утечке всего исходного кода, включая TOR-ключи, панель администратора, базу данных блога и систему чатов. А группа Interlock начала распространять новый JavaScript-бэкдор NodeSnake, направленный на организации Великобритании в сфере образования и госуправления.

Как подчёркивает Quorum Cyber, использование RAT-инструментов остаётся основным способом получения и удержания доступа к инфицированным системам. Такие инструменты позволяют управлять системой, наблюдать за действиями пользователей, вводить дополнительное ПО и похищать данные — всё это делает их незаменимыми в арсенале современных атакующих.